Si utiliza la autenticación Identity and Access Management (IAM) de Amazon para acceder a los recursos de AWS utilizados por las implementaciones de ArcGIS Enterprise que configura fuera de las herramientas de implementación de ArcGIS Enterprise para Amazon Web Services, debe configurar usted mismo las funciones y políticas de IAM utilizando las herramientas de AWS.
A continuación se ofrecen fragmentos de código JSON de ejemplo para las políticas de IAM. Las muestras utilizan la versión del documento de política del 17 de octubre de 2012. Si utiliza una versión diferente, es posible que tenga que cambiar el formato del documento.
Reemplace los valores situados dentro de los corchetes angulares (<>) con valores específicos para su implementación.
Almacenar el directorio de contenido Portal for ArcGIS en un bucket de S3
Para almacenar el directorio de contenido Portal for ArcGIS en un bucket de Amazon Simple Storage Service (S3), necesita un rol o usuario de IAM con la siguiente política de IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:PutObject",
"s3:ListBucket",
"s3:CreateBucket",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<portal-content-bucket-name>/*",
"arn:aws:s3:::<portal-content-bucket-name>"
]
}
]
}Guardar el almacén de configuración ArcGIS Server en S3 y DynamoDB
Para almacenar su almacén de configuración de ArcGIS Server mediante los servicios de AWS, necesita un usuario o rol de IAM con la siguiente política de IAM:
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"<statement-id1>",
"Action":[
"s3:ListBucket",
"s3: ListMultipartUploadParts",
"s3:GetBucketAct",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:GetLifecycleConfiguration",
"s3:DeleteObjectTagging",
"s3:PutBucketTagging",
"s3:PutObjectTagging",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:PutObject",
"s3:PutLifecycleConfiguration"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::arcgis-config-store-*",
"arn:aws:s3:::arcgis-config-store-*/*"
]
},
{
"Sid":"<statement-id2>",
"Action":[
"dynamodb:DescribeTable",
"dynamodb:GetItem",
"dynamodb:GetRecords",
"dynamodb:Query",
"dynamodb:CreateTable",
"dynamodb:DeleteItem",
"dynamodb:DeleteTable",
"dynamodb:ListTables",
"dynamodb:PutItem",
"dynamodb:Scan",
"dynamodb:UpdateItem",
"dynamodb:UpdateTable",
"dynamodb:TagResource",
"dynamodb:UntagResource"
],
"Effect":"Allow",
"Resource":[
"arn:aws:dynamodb:*:*:table/*"
]
},
]
}Utilizar un bucket de S3 como almacén de objetos
Para registrar un bucket de S3 como un almacén de objetos del sistema de la implementación de ArcGIS Enterprise, el usuario o rol de IAM requiere como mínimo la siguiente política de IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"S3:GetLifecycleConfiguration",
"s3:DeleteObjectTagging",
"s3:PutBucketTagging",
"s3:PutObjectTagging",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:PutObject",
"S3:PutLifecycleConfiguration"
],
"Resource": [
"arn:aws:s3:::<object-bucket-name>/*",
"arn:aws:s3:::<object-bucket-name>"
]
}
]
}Almacenar cachés en un bucket de S3
Para registrar un bucket de S3 como un almacén en la nube para almacenar y acceder a cachés de mapas e imágenes, el usuario o rol de IAM requiere como mínimo la siguiente política de IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:GetBucketAcl",
"s3:GetObjectVersion",
"s3:GetLifecycleConfiguration",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<cache-bucket-name>/*",
"arn:aws:s3:::<cache-bucket-name>"
]
}
]
}Usar un bucket de S3 como almacén de rásteres
Para registrar un bucket de S3 como un almacén de rásteres, el usuario o rol de IAM requiere como mínimo la siguiente política de IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::<raster-store-bucket-name>/*",
"arn:aws:s3:::<raster-store-bucket-name>"
]
}
]
}Usar un bucket de S3 para las copias de seguridad generadas a partir de la utilidad webgisdr
Si usa la utilidad webgisdr instalada con Portal for ArcGIS para crear copias de seguridad en un bucket de S3 en AWS, su usuario o rol de IAM requiere políticas para crear los archivos de copia de seguridad y políticas para restaurar su implementación a partir de esos archivos de copia de seguridad.
A continuación, se muestra la configuración de política mínima requerida para usar la utilidad webgisdr para crear una copia de seguridad en un bucket de S3:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::<webgisdr-bucket-name>",
"arn:aws:s3:::<portal-content-backup-bucket-name>",
"arn:aws:s3:::<webgisdr-bucket-name>/*",
"arn:aws:s3:::<portal-content-backup-bucket-name>/*"
]
}
]
}A continuación, se muestra la configuración de política mínima requerida para usar la utilidad webgisdr para restaurar una implementación a partir de archivos de copia de seguridad almacenados en un bucket de S3:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<webgisdr-bucket-name>",
"arn:aws:s3:::<portal-content-backup-bucket-name>",
"arn:aws:s3:::<webgisdr-bucket-name>/*",
"arn:aws:s3:::<portal-content-backup-bucket-name>/*"
]
}
]
}